Immagine: Open WhisperSystems
La NSA non fa i salti di gioia nel sapere che le comunicazioni criptate stanno diventando più facili e più diffuse che mai. Il suo direttore, l'ammiraglio Mike Rogers, ha detto così la settimana scorsa durante un evento sulla ciber-sicurezza a Washington, D.C., dove si è unito all'FBI nel chiedere una "struttura legale" per cui le agenzie governative possano inserire backdoor dentro a software di cumunicazione comuni.Dunque ci sono buone possibilità che NSA e compagnia non aprezzino Signal, una app cross-platform che ti permette di inviare messaggi criptati, immagini e video messaggi virtualmente a chiunque abbia uno smartphone.La app gratuita è realizzata da Open Whisper Systems, creatori di TextSecure e Redphone, che permettono agli utenti di Android di inviare messaggi e chiamare in modalità criptata end-to-end. Il che significa che a meno che qualcuno non ti hackeri il telefono o non rubi le tue chiavi di crittografia, nessuno—neanche i creatori della app—può origliare le tue chiamate e sbirciare i tuoi messaggi.Con Signal 2.0, gli utenti iOS si uniscono finalmente ai giochi, rendendo "possibile inviare messaggi di gruppo, testo, foto e video criptati end-to-end tramite Signal su iPhone e TextSecure su Android, il tutto senza costi di SMS e MMS," dice la compagnia in un blog-post. Tutto ciò che serve è un numero di telefono (salvato come un hash, una riga fissa di caratteri criptati) per registrarti sui server della Whisper Systems, e la app fa il resto senza farsi notare. Una versione precedente di Signal faceva la stessa cosa per le chiamate su iOS, e gli sviluppatori dicono che unificheranno presto le due versioni in una piattaforma unica e coesiva.La nuova uscita giunge proprio quando il Dipartimento di Giustizia e varie agenzie di intelligence e forze dell'ordine hanno alzato il volume delle loro lamentele riguardo la forte crittografia commerciale, avvertendo che la sua adozione diffusa sta creando una "zona senza legge" per spacciatori di droga, rapitori, e gli altri cavalieri dell'Infocalisse.Quando è stato sfidato dal guru della sicurezza Bruce Schneier la scorsa settimana, il direttore della NSA sembrava non capire che creare backdoor per i "buoni"—buchi nella sicurezza introdotti intenzionalmente per scopi di sorveglianza—crea per forza punti vulnerabili che i "cattivi" possono trovare e sfruttare.La NSA probabilmente adorerebbe mettere una backdoor in qualcosa come Signal, ma fortunatamente per i sostenitori della privacy, tutto il codice è open-source, cosa che rende molto più difficile trovarne i difetti—intenzionali o meno.Come qualsiasi cosa nella sicurezza informatica, ci sono un paio di precisazioni da fare. Una, i messaggi di testo inviati tramite Signal possono essere criptati solo quando hai un Wi-Fi o una connessione dati (3G, LTE o simili). Questo perché Apple non permette agli sviluppatori di toccare gli SMS standard.Cosa che non vale per TextSecure, la versione per Android, che si fonderà presto con Signal, che ha un'opzione di ricaduta sugli SMS quando non sono disponibili reti dati. Per fortuna, non sarà un problema troppo grande per i futuri proprietari di smartphone, dal momento che le applicazioni tradizionali come la telefonia e gli SMS stanno lentamente convergendo sulle reti di dati ad ogni modo, che sia attraverso cose come Skype e VoLTE o servizi di messaggistica di terze parti come WhatsApp (che a sua volta usa la crittografia di TextSecure).Secondariamente, è importante ricordare che cose come Signal non possono proteggerti dalla raccolta massiva di metadati, come a chi telefoni o mandi messaggi, quando, e con quale frequenza. Tutte quelle informazioni continuano ad essere raccolte in massa dal rastrellamento dei tabulati telefonici nazionali. Il congresso non è riuscito a chiudere il programma l'anno scorso, nonostante un progetto di legge di riforma ampiamente supportato e numerose commissioni indipendenti che lo trovavano di dubbio valore costituzionale e inefficace nella prevenzione al terrorismo. Il Patriot Act, che autorizza il rastrellamento senza mandato alcuno, scadrà questo giugno.In entrambi i casi, il numero crescente di app facili da usare diventerà un puntaspilli per la polizia e le agenzie di spionaggio nei prossimi giorni. L'hack dei produttori di SIM card Gemalto, rivelato recentemente, mostra che il governo si fa pochi problemi ad aggirare la crittografia interamente, rubando le chiavi di crittografia alla fonte, permettendo di sbloccare comunicazioni prima inaccessibili. E se l'FBI può convincere il Congresso a dare ordini per le backdoor, nessuna app potrà salvarti da chiunque decida di attraversarle.
Pubblicità
Pubblicità